我赞赏防火墙地址对象和地址组 – 他们通过让我给一组地址命名来简化pipe理。
但我不明白防火墙区域(LAN,WAN,DMZ等)通过地址组为我做了什么。 我知道所有的防火墙都有,所以一定有一个很好的理由。 但是,通过声明一个规则获得的收益是否适用于从LAN地址组到WAN地址组的所有从LAN区域到WAN区域的stream量? 为什么不直接提到地址组呢?
防火墙区域有助于logging发生的事情。 标准组织有标准的限制。 这个规则很容易识别错误。
Allow port 80 from NET to LAN
现在还不清楚你什么时候有这个
Allow port 80 from 0.0.0.0/0 to 192.0.2.0/16
通常区域将被分配到具有或不具有地址限制的接口或vlan。 在严格的规则集下,错误区域中的机器可能会拒绝正确运行。
每个防火墙区域都符合指定的安全要求。 一组networking块可以对应于相同的指定安全要求。 防火墙区域可容纳一组networking块或对象。 防火墙是networking安全设备,它使用区域来分隔networking。
局域网和广域网不是防火墙区域名称。 信任和不信任是防火墙区域名称或networking安全术语。
地址组通常是连续的IP地址,比如说192.168.0.0./24,但是你的局域网可能包含192.168.0.0/24和10.1.1.0/24,并不是所有的防火墙都允许把它们连接在一起
其次,局域网段并不总是由IP地址来定义的,但是有一些设备可以指定物理端口。 因此,端口1入站的所有东西都来自DMZ,端口2来自局域网,端口3是互联网(一个Snapgear SG530是我能想到的第一个设备, )。